来源:平航科技
技术人员在对近期支撑案例分析时发现某些涉诈案件中,尤其是裸聊类型APP,有一个显著的特征变化:应用在动态逆向分析时会访问一个国内的云服务器地址,如阿里云OSS等,为APP动态逆向直接获取涉案后台服务器带来困扰。
但实际上APP运行时会通过跳转多级链接后,最终发起目标网络地址请求。
通过本文,我们将从取证技术角度介绍:如何对此类多级跳转链接的涉案APP进行取证。
本文将使用到平航应用逆向解析AR200系列产品
01 / 获取动态信息
通过平航应用逆向解析软件AR200对APP进行动态分析,发现APP先请求三方云存储服务(获取到一串Base64编码的加密字符串),再去请求另外一个地址。
AR200判断第二个地址为主网站,并自动标记。
02 / Frida 动态调试
通过平航应用逆向解析软件AR200“源码调试”功能中的"加密拦截"模块对目标加密或散列方法进行拦截(AR200“加密拦截”功能支持拦截AES/DES/3DES、Base64、HASH/HMAC等加密算法,捕捉相关数据,包括加密前后的数据、使用的密钥等)。
在控制台查看输出日志,发现系统拦截到目标APP使用了AES的算法,解密后确认为APK的第二个请求地址。
03 / 静态功能分析
那如何将解密前的十六进制值跟APP请求的云存储下载的文件内容关联呢?
通过平航应用逆向解析软件AR200“静态分析”功能查看APK的原始代码,使用拦截到的算法关键字进行代码定位,分析得知APP会接收并解密一个字符串作为请求地址。
通过Python复现代码中的解密功能,确认APP会解密字符串作为实际的请求地址。
04 / 简单总结
在涉网案件中,APP通过此类技术手段延长了其存活时间。诸如此类的其他技术手段也日益增多,亟需要我们采取更有效的手段来应对这种变化。
原文始发于微信公众号(电子物证):【裸聊敲诈涉案APP中多级跳转链接技术的取证分析 】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论